Security Professionals - ipfw add deny all from eindgebruikers to any

Incident response en netwerkdata

14-10-2015, 17:09 door josdca, 8 reacties
Momenteel ben ik bezig met mijn afstudeerstage en ik voor onderzoek uit naar incident response en het vinden van aanvallers in een IT omgeving door gebruik te maken van informatie uit van netwerkverkeer en netwerklogs. Er zijn verschrikkelijk veel topics die ik in mijn onderzoek kan bespreken maar ik probeer de belangrijkste in mijn onderzoek te behandelen. Hetgeen dat ik al heb behandeld is:

- Het zoeken in netwerkverkeer en logs met bekende Indicators of Compromises (IoC's)
- Het opstellen van een netwerkflow zodat datastromen naar verdachte locaties weergegeven kunnen worden
- Gebruik van een Network Intrusion Detection Systeem voor het detecteren van port scans en DoS aanvallen
- Detecteren van Tor, IRC en SSH verkeer op end-points.

Ik hoop dat jullie me kunnen helpen door het beantwoorden van bovenstaande onderstaande vragen:

Welke indicaties zijn voor een onderzoeker belangrijk tijdens een incident response waarbij gezocht wordt of een aanvaller zich op het netwerk begeeft?
Welke methodes en/of tools gebruikt kunnen worden voor het detecteren van die indicaties?

Als er vragen zijn hoor ik dat graag!

Jos
Reacties (8)
15-10-2015, 23:22 door Anoniem
Deze vragen zijn kant-en-klaar. Je vragen getuigen van geen enkel vooronderzoek ondanks dat je dat wel in het begin hebt aangegeven. Dit is het zoveelste topic op security.nl waarbij dat het geval is. Ik begin hier als vaste bezoeker moe van te worden. Kan hier wat tegen gedaan worden?
16-10-2015, 07:41 door Erik van Straten
Vooraf: ik ben geen forensisch onderzoeker, maar loop al wel een tijdje mee en heb ook wel wat gecompromitteerde systemen bekeken.
Tip: doe eerst wat zinvolle bijdragen op het forum voordat je zelf vragen stelt. Nu ben je een leecher en die krijgen minder respons.

14-10-2015, 17:09 door josdca: Welke indicaties zijn voor een onderzoeker belangrijk tijdens een incident response waarbij gezocht wordt of een aanvaller zich op het netwerk begeeft?
Hmm "begeeft" klinkt als een beweging in de zin van "zich toegang verschaft" (bezig is in te breken). Ik vermoed echter dat je bedoelt dat de aanvaller al toegang heeft tot systemen in het netwerk.
Lees eerst: http://www.theregister.co.uk/2015/10/15/inside_mandiants_biggest_forensics_breach_battle_is_this_anthem/. M.a.w. onderschat de aanvaller niet en realiseer je dat aanvallers graag weten hoe jij hen probeert op te sporen. Voor zover op dit forum al mensen met verstand van deze zaken aanwezig zijn, gaan zij jou dat niet in detail vertellen.

In essentie gaat het natuurlijk altijd om anomaly detection: wat is er veranderd dat niet verklaard kan worden? Als je als externe onderzoeker in een omgeving komt waar weinig wordt gelogd, logs kort worden bewaard en de integriteit ervan twijfelachtig is, heb je "een uitdaging".

Om anomaly detection goed te kunnen doen is het niet allen belangrijk om te wrten wat "normaal" is, maar ook hoe lang de situatie al niet meer normaal is (wanneer is er ingebroken). In de praktijk zul je vaak zien dat er meer dan 1x is ingebroken wat extra "ruis" geeft in je onderzoek.

Een belangrijke indicator zijn dan mensen; vraag ze om alle vreemde zaken te rapporteren en aan te geven hoe lang het speelt. Benader de meer verlegen types zelf; zij hebben vaak interessante info en zijn minder vooringenomen.

14-10-2015, 17:09 door josdca: Welke methodes en/of tools gebruikt kunnen worden voor het detecteren van die indicaties?
1 Gezond verstand
2 Kennis van de scene (lees full disclosure etc.), scripting languages, obfuscation technieken, netwerkprotocollen en versleuteling
3 Empathie maar ook overtuigingskracht (toestemming off-line halen systemen voor zuiver onderzoek)
4 Netwerksniffer
5 Hex viewer/editor, hashtools, strings, virustotal
6 Unpackers, IDA Pro

Succes met je studie!
16-10-2015, 12:54 door Anoniem
Door Erik van Straten: Vooraf: ik ben geen forensisch onderzoeker, maar loop al wel een tijdje mee en heb ook wel wat gecompromitteerde systemen bekeken.
Tip: doe eerst wat zinvolle bijdragen op het forum voordat je zelf vragen stelt. Nu ben je een leecher en die krijgen minder respons.

14-10-2015, 17:09 door josdca: Welke indicaties zijn voor een onderzoeker belangrijk tijdens een incident response waarbij gezocht wordt of een aanvaller zich op het netwerk begeeft?
Hmm "begeeft" klinkt als een beweging in de zin van "zich toegang verschaft" (bezig is in te breken). Ik vermoed echter dat je bedoelt dat de aanvaller al toegang heeft tot systemen in het netwerk.
Lees eerst: http://www.theregister.co.uk/2015/10/15/inside_mandiants_biggest_forensics_breach_battle_is_this_anthem/. M.a.w. onderschat de aanvaller niet en realiseer je dat aanvallers graag weten hoe jij hen probeert op te sporen. Voor zover op dit forum al mensen met verstand van deze zaken aanwezig zijn, gaan zij jou dat niet in detail vertellen.

In essentie gaat het natuurlijk altijd om anomaly detection: wat is er veranderd dat niet verklaard kan worden? Als je als externe onderzoeker in een omgeving komt waar weinig wordt gelogd, logs kort worden bewaard en de integriteit ervan twijfelachtig is, heb je "een uitdaging".

Om anomaly detection goed te kunnen doen is het niet allen belangrijk om te wrten wat "normaal" is, maar ook hoe lang de situatie al niet meer normaal is (wanneer is er ingebroken). In de praktijk zul je vaak zien dat er meer dan 1x is ingebroken wat extra "ruis" geeft in je onderzoek.

Een belangrijke indicator zijn dan mensen; vraag ze om alle vreemde zaken te rapporteren en aan te geven hoe lang het speelt. Benader de meer verlegen types zelf; zij hebben vaak interessante info en zijn minder vooringenomen.

14-10-2015, 17:09 door josdca: Welke methodes en/of tools gebruikt kunnen worden voor het detecteren van die indicaties?
1 Gezond verstand
2 Kennis van de scene (lees full disclosure etc.), scripting languages, obfuscation technieken, netwerkprotocollen en versleuteling
3 Empathie maar ook overtuigingskracht (toestemming off-line halen systemen voor zuiver onderzoek)
4 Netwerksniffer
5 Hex viewer/editor, hashtools, strings, virustotal
6 Unpackers, IDA Pro

Succes met je studie!

Vaak worden ook IDS (Intrusion detection system) en uitgebreide logs vergeten te melden, logs niet alleen op 1 plek bewaren zodat de aanvaller alles makkelijk kan verwijderen maar die naar een externe schijf / systeem schrijven waar het dus als backup word neergezet.
16-10-2015, 13:37 door leech
ik moet een verslag maken heb je er 1 voor mij liggen ?
het moet voldoen aan 1. 2. 3.

klaar


helaas
17-10-2015, 10:14 door Anoniem
Onderdeel van een scriptie schrijven is het verzamelen van informatie. Dat kan door literatuur onderzoek, het houden van interviews, een enquête of bijvoorbeeld (deskundige) bezoekers van een forum of website om advies te vragen. Misschien was het handiger als josdca had gedeeld wat hij of zij zelf al aan informatie had verzameld, om te laten zien dat hij of zij echt serieus met zijn of haar scriptie bezig is. Daarnaast denk ik dat als iemand enthousiast is over ons prachtige vakgebied, het goed zou zijn om dat enthousiasme toe te juichen en hem of haar juist van advies te voorzien, bijvoorbeeld zoals Erik en een anonieme bezoeker doen. Afkraken en er gemakshalve en zonder verder onderzoek vanuit gaan dat een student totaal geen moeite heeft gedaan, geeft mij in ieder geval het beeld dat je zelf geen goede onderzoeker bent.

Hierbij mijn advies:

- Kijk of het mogelijk is om SANS 4572 te volgen.
https://www.sans.org/course/advanced-network-forensics-analysis

- ForensicsWIki heeft een pagina over tools die je kunt gebruiken.
http://forensicswiki.org/wiki/Tools:Network_Forensics

- Een interessante paper uit 2009:
http://airccse.org/journal/nsa/0409s2.pdf

- Kijk ook eens hoe anderen network forensics hebben toegepast (de antwoorden op de puzzels staan er ook bij en hoe de winnaars tot de antwoorden zijn gekomen, al is het leuker en leerzamer om te proberen om zelf deze puzzels op te lossen:
http://forensicscontest.com/puzzles

Succes met je scriptie!
17-10-2015, 11:08 door SecOff
Hoi Jos,

Er zijn hier helaas wat mensen actief die nieuwe posters graag negatief benaderen, trek je daar niet teveel van aan.

Bij het zoeken naar de aanwezigheid van onbevoegden op een netwerk is de hoofdzaak zoals Erik van Straten al aangaf het detecteren van afwijkingen van de normale situatie. Als er niet eerder een baseline van de normale situatie is gemaakt is dat best moeilijk.

Waar ik in ieder geval naar zou kijken is sporen van netwerk discovery. Een aanvaller zal over het algemeen proberen het interne netwerk in kaart te brengen. Sporen van connectiepogingen tussen systemen die normaal niet voorkomen zijn een aardige indicator dat iemand bezig is met netwerk discovery.

Daarnaast zal een aanvaller altijd informatie naar buiten willen sturen. Het monitoren en analyseren van al het uitgaande verkeer is dus een beproefde methode om indringers te vinden. Dit kan echter zeer complex zijn vanwege de vele mogelijkheden informatie te verbergen in uitgaand verkeer. Met een grondige analyse van wat afwijkt van "normaal" zou je de meeste indringers wel op moeten kunnen sporen. Afhankelijk van de grootte van de omgeving die je wilt monitoren kan dit echter zeer arbeidsintensief zijn. Probeer daarom je onderzoeksobjecten te beperken tot de essentiële.

Succes met je afstudeerstage
17-10-2015, 14:44 door Anoniem
Door Anoniem: Onderdeel van een scriptie schrijven is het verzamelen van informatie. Dat kan door literatuur onderzoek, het houden van interviews, een enquête of bijvoorbeeld (deskundige) bezoekers van een forum of website om advies te vragen. Misschien was het handiger als josdca had gedeeld wat hij of zij zelf al aan informatie had verzameld, om te laten zien dat hij of zij echt serieus met zijn of haar scriptie bezig is. Daarnaast denk ik dat als iemand enthousiast is over ons prachtige vakgebied, het goed zou zijn om dat enthousiasme toe te juichen en hem of haar juist van advies te voorzien, bijvoorbeeld zoals Erik en een anonieme bezoeker doen. Afkraken en er gemakshalve en zonder verder onderzoek vanuit gaan dat een student totaal geen moeite heeft gedaan, geeft mij in ieder geval het beeld dat je zelf geen goede onderzoeker bent.

Hierbij mijn advies:

- Kijk of het mogelijk is om SANS 4572 te volgen.
https://www.sans.org/course/advanced-network-forensics-analysis

- ForensicsWIki heeft een pagina over tools die je kunt gebruiken.
http://forensicswiki.org/wiki/Tools:Network_Forensics

- Een interessante paper uit 2009:
http://airccse.org/journal/nsa/0409s2.pdf

- Kijk ook eens hoe anderen network forensics hebben toegepast (de antwoorden op de puzzels staan er ook bij en hoe de winnaars tot de antwoorden zijn gekomen, al is het leuker en leerzamer om te proberen om zelf deze puzzels op te lossen:
http://forensicscontest.com/puzzles

Succes met je scriptie!

Begrijp wel dat zo een cursus al snel paar duizend euro is en voor een student niet te doen zal zijn omdat de prijs zo hoog is?

Daarnaast zoals hierboven word aangegeven is het dus goed zoeken, interviewen en google gebruiken.
18-10-2015, 12:07 door Anoniem
Bedankt voor jullie reacties!


- Kijk of het mogelijk is om SANS 4572 te volgen.
https://www.sans.org/course/advanced-network-forensics-analysis
Een collega heeft die gevolgd, ik heb daar al wat tips voor gekregen.


- Een interessante paper uit 2009:
http://airccse.org/journal/nsa/0409s2.pdf
Thanks, is uitgeprint en wordt gelezen.


- Kijk ook eens hoe anderen network forensics hebben toegepast (de antwoorden op de puzzels staan er ook bij en hoe de winnaars tot de antwoorden zijn gekomen, al is het leuker en leerzamer om te proberen om zelf deze puzzels op te lossen:
http://forensicscontest.com/puzzles
Goede tip, bedankt.`


In essentie gaat het natuurlijk altijd om anomaly detection: wat is er veranderd dat niet verklaard kan worden? Als je als externe onderzoeker in een omgeving komt waar weinig wordt gelogd, logs kort worden bewaard en de integriteit ervan twijfelachtig is, heb je "een uitdaging".
___

Bij het zoeken naar de aanwezigheid van onbevoegden op een netwerk is de hoofdzaak zoals Erik van Straten al aangaf het detecteren van afwijkingen van de normale situatie. Als er niet eerder een baseline van de normale situatie is gemaakt is dat best moeilijk.


Inderdaad, anomaly detectie is tijdens mijn onderzoek minder van toepassing omdat je in veel gevallen geen tijd hebt om een baseline te maken en de klant heeft er ook geen gemaakt. Ik ben me verder wel bewust dat dit een goede methode is voor het detecteren van intrusions.

quote]
Misschien was het handiger als josdca had gedeeld wat hij of zij zelf al aan informatie had verzameld
[/quote]Daarom had ik geplaatst welke topics ik al had behandeld. De bronnen waar ik informatie uit heb gehaald zijn er meer dan 100. Over het algemeen komt het neer op:
- Documenten van SANS
- Boeken (Tracking hackers through cyberspace, Incident response& computer forensics - 3th edition, Mastering Windows Network Forensics and Investigation
- Google

Door middel van het posten van dit bericht hoop ik info van te krijgen van mensen die ervaring hebben met network forensics. Uiteraard staan er ook interviews met professionals uit het bedrijfsleven gepland.

Als iemand nog tips heeft hoor ik dat graag!
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.